Las aplicaciones de rastreo de contactos de Bahréin, Kuwait y Noruega, entre "las más peligrosas" del mundo

16.06.2020

Bahréin, Kuwait y Noruega han implantado algunas de las aplicaciones de rastreo de contactos contra el coronavirus "más invasivas del mundo" que, según Amnistía Internacional (AI), "ponen en peligro la privacidad y la seguridad de centenares de miles de personas". Así se deduce de la investigación Security Lab de Amnistía Internacional (AI) publicada este martes, que ha examinado aplicaciones de rastreo de contactos de Europa, Oriente Medio y el Norte de África.
 
En concreto, el proyecto ha realizado un detallado análisis técnico de 11 aplicaciones de Argelia, Bahréin, Emiratos Árabes Unidos, Francia, Islandia, Israel, Kuwait, Líbano, Noruega, Qatar y Túnez, algunas de las cuales son desde malas hasta peligrosas para los derechos humanos. Según sus conclusiones, las aplicaciones 'BeAware Bahrain', 'Shlonik' y 'Smittestopp', de Bahréin, Kuwait y Noruega, respectivamente, figuran entre las herramientas de vigilancia masiva "más alarmantes de las evaluadas".
 
Las tres realizan rastreos directos o casi directos de ubicaciones de usuarios, subiendo las coordinadas GPS a un servidor central a intervalos frecuentes.
 
El lunes, el Gobierno noruego anunció que frenaría el uso de su aplicación de rastreo. La decisión se produjo pocas horas antes de que Amnistía Internacional publicara su análisis y después de que la organización compartiera sus conclusiones con las autoridades noruegas y la agencia de protección de datos del país el pasado 2 de junio.
 
Para Claudio Guarnieri, director del proyecto Security Lab de Amnistía Internacional, “Bahréin, Kuwait y Noruega violan la privacidad de las personas con invasivas herramientas de vigilancia que superan los límites justificados para hacer frente al Covid-19. "Estos gobiernos deben poner fin de inmediato al uso que se está haciendo en la actualidad de estas aplicaciones intrusivas”, e instó a los ejecutivos de Barheim y Kuwait a seguir el ejemplo noruego.
 
"Básicamente, transmiten las ubicaciones de los usuarios a una base de datos gubernamental en tiempo real", indicó, algo "poco probable de ser necesario y proporcionado en el contexto de una respuesta de salud pública".
 
Según Amnistía, "la tecnología puede desempeñar una función de rastreo de contactos de gran utilidad para contener el coronavirus". Sin embargo, "la privacidad no puede ser una víctima más como consecuencia de las prisas de los gobiernos por implantar aplicaciones”.
 
FUNCIONAMIENTO
 
Los tres sistemas señalados captan la ubicación por medio del GPS y suben estos datos a una base central, rastreando los movimientos de los usuarios en tiempo real.
 
Las autoridades de todos estos países pueden vincular fácilmente esta información personal sensible con una persona, pues Qatar, Bahréin y Kuwait exigen a los usuarios registrase con un número de documento nacional de identidad, mientras que Noruega impone el registro con un número de teléfono válido.
 
Otras aplicaciones analizadas por Security Lab, como la 'E7mi' de Túnez, también siguen un modelo centralizado, pero en lugar de registrar las coordinadas GPS, utilizan el escaneo de proximidad de Bluetooth para seguir los contactos entre usuarios en tiempo real. La aplicación 'Ehteraz' de Qatar registra y sube el contacto de Bluetooth entre los dispositivos de los usuarios, junto con las coordenadas GPS del encuentro.
 
Además, en la aplicación qatarí se identificó una grave vulnerabilidad de seguridad que dejaba expuestos datos personales sensibles de más de un millón de personas. Se subsanó tras alertar Amnistía de ella a las autoridades a finales de mayo, ya que el fallo de seguridad habría permitido a ciberatacantes acceder a información personal altamente sensible, incluidos el nombre, documento nacional de identidad, estado de salud y ubicación de confinamiento asignada de los usuarios.
 
Por otro lado, el estudio señala que las aplicaciones de rastreo de países como Emiratos Árabes Unidos, Francia e Islandia utilizan un modelo centralizado, pero la información sobre el contacto entre los dispositivos de los usuarios se sube sólo si ellos deciden voluntariamente informar de que son sintomáticos o las autoridades de salud la solicitan.
 
Estas subidas voluntarias y consentidas reducen al menos el riesgo de vigilancia masiva, ya que los datos no se suben automáticamente. "El modelo centralizado de la aplicación de rastreo de contactos de Francia, sumado a la falta de transparencia sobre el modo de almacenar los datos, suscita la sospecha de que la información de los usuarios pueda dejar de ser anónima", alertó.
 
Para que estas aplicaciones "desempeñen una función efectiva en la lucha contra el coronavirus, las personas tienen que estar seguras de que se protegerá su privacidad”, afirmó Claudio Guarnieri.
 
NUEVAS FORMAS DE VIGILANCIA
 
La aplicación de Bahréin incluso estaba vinculada a un programa de televisión de ámbito nacional llamado '¿Estás en Casa?', que concedía premios por quedarse en casa durante el Ramadán.
 
Con los datos de contacto recopilados por medio de la aplicación, se elegían cada día 10 números de teléfono al azar mediante un programa informático y se llamaba a ellos en directo para comprobar si los usuarios de la aplicación estaban en su casa. La inclusión en el sorteo del programa de televisión era obligatoria al principio, pero luego la Administración Electrónica y de Información de Bahréin añadió a la aplicación 'BeAware Bahrain' una opción que permitía a los usuarios elegir no participar en el concurso televisivo. Las autoridades bahreiníes han publicado también en Internet información personal sensible de presuntos casos de Covid-19, incluidos el estado de salud, nacionalidad, edad, género e historial de viajes de una persona.
 
Las aplicaciones bahreiní y kuwaití pueden combinarse con una pulsera con Bluetooth que sirve para asegurarse de que el usuario está cerca del teléfono y hacer cumplir así las medidas de cuarentena. Además, la kuwaití comprueba periódicamente la distancia entre la pulsera y el dispositivo y cada 10 minutos sube la ubicación a un servidor central.
 
CONDICIONES DE AI
 
Para que las aplicaciones de rastreo de contactos respeten los derechos humanos, deben incorporar en su diseño la protección de los datos y la privacidad, lo que significa que los datos recopilados deben ser los mínimos necesarios y almacenarse de forma segura, indicó AI.
 
Además, pidió que toda recopilación de datos se limite al control de la propagación del Covid-19 y no tenga ningún otro fin, como hacer cumplir la ley, velar por la seguridad nacional o controlar la inmigración. "Tampoco debe ponerse a disposición de terceros ni destinarse a fines comerciales", agregó.
 
Por último, señaló que la decisión individual de descargar y usar aplicaciones de este tipo "ha de ser completamente voluntaria" y protegerse la confidencialidad de todos los datos recopilados, incluso si se combinan con otros conjuntos de datos.
 
“Los gobiernos que implantan aplicaciones de rastreo de contacto con rastreo de ubicación en tiempo real tienen que replantearse su uso, porque hay opciones mejores", concluyó Guarnieri.